Характэрна, што нягледзячы на вялікі лік усталёвак, ні ў аднаго з праблемных дадаткаў няма водгукаў карыстачоў, што наводзіць на пытанні аб тым, якім чынам былі ўсталяваныя дадаткі і як шкоднасная актыўнасць заставалася незаўважанай. У цяперашні час усе праблемныя дадаткі выдалены з Chrome Web Store.
На думку даследчыкаў, звязаная з заблакіраванымі дапаўненнямі шкоднасная дзейнасць вядзецца са студзеня 2019 года, але асобныя дамены, якія прымяняліся для выканання шкоднасных дзеянняў, былі зарэгістраваны яшчэ ў 2017 годзе.
У асноўнай масе шкоднасныя дадаткі падаваліся як прылады для пасоўвання прадуктаў і ўдзелы ў рэкламных сэрвісах (карыстальнік праглядае рэкламу і атрымлівае адлічэнні). У дадатках прымянялася тэхніка перанакіравання на рэкламуемыя сайты пры адкрыцці старонак, якія па ланцужку паказваліся перад адлюстраваннем запытанага сайта.
Ва ўсіх дадатках выкарыстоўвалася аднатыпная тэхніка для ўтойвання шкоднаснай актыўнасці і абыходу механізмаў верыфікацыі дадаткаў у Chrome Web Store. Код усіх дадаткаў быў практычна ідэнтычны на ўзроўні зыходных тэкстаў, за выключэннем імёнаў функцый, якія ў кожным дадатку былі ўнікальныя. Перадача шкоднаснай логікі ажыццяўлялася з цэнтралізаваных кіравальных сервераў. Спачатку дадатак падлучалася да дамена, меламу такое ж імя як і назоў дадатку (напрыклад, Mapstrek.com), пасля чаго перанакіроўвалася на адзін з кіраўнікоў сервераў, якія аддавалі сцэнар наступных дзеянняў.
Сярод ажыццяўляемых праз дапаўненні дзеянняў згадваецца загрузка на вонкавы сервер канфідэнцыйных дадзеных карыстача, пракід на шкоднасныя сайты і патуранне ўсталёўцы шкоднасных прыкладанняў (напрыклад, выводзіцца паведамленне аб заражэнні кампутара і прапануецца шкоднаснае ПА пад выглядам антывіруса ці абнаўленні браўзэра). У ліку даменаў, на якія ажыццяўлялася перанакіраванне фігуруюць розныя фішынгавыя дамены і сайты для эксплуатацыі неабноўленых браўзэраў, якія змяшчаюць невыпраўленыя ўразлівасці (напрыклад, пасля эксплуатацыі ажыццяўляліся спробы ўстаноўкі шкоднасных праграм, якія перахапляюць ключы доступу і аналізуюць перадачу канфідэнцыйных дадзеных праз буфер абмену).
Крыніца: opennet.ru